企业网络架构阶段

深信服网络基础架构阶段学习

  • 阶段一:企业初创
  • 阶段二:业务增长
  • 阶段三:业务扩张
  • 阶段四:稳态和敏态业务
  • 阶段五:运营管理和服务支撑

在6.10号晚听了领跑X计划第一阶段的网络基础课,对课中内容做一个梳理,以下内容参考于深信服培养资料以及自己的一些见解。

阶段一:企业初创

企业网络架构阶段_第1张图片
在这种网络环境下,分析流量走势,有两种流量。
(1)两种流量:PC上网和PC访问服务器
①电脑主动访问网站和电脑通过交换机访问共享文件服务器
②电脑主动到外网,电脑主动到服务器(风险也最容易出现在这两个方面),访问外网和U盘有风险。
③安全比较广泛,终端安全、服务器安全、AV+IPS+IDS+WAF+UTM、电脑访问互联网安全+电脑访问服务器安全。
【1】互联网是鱼龙混杂的,一个带有病毒的网站,不是病毒主动进来的,用户主动的行为带回来的,上网路径加入安全防护(出口顶掉或路由器与交换机之间)病毒防火墙
【2】电脑访问内部服务器呢,U盘携带病毒入侵内网,防火墙并不能起到作用,便设置终端防护设备EDR(终端检测与响应)
(2)防火墙过滤钓鱼网站,色情网站,阻断病毒。

阶段二:业务增长

企业网络架构阶段_第2张图片
(1)IT建设随着业务的发展而发展的,逐渐业务增长:人多了,有分工,有下属部门-部门职责-上网内容,品牌营销【上行流量】,市场【彩页宣传册选型发邮件】,
(2)吸引客户,搞官网:干啥的,卖啥,招人,外部使用的
(3)财务、订单、crm系统内部使用的,企业邮箱服务器,OA办公系统导致
①有麻烦出现了,不同部门需要不同的权限,研发、财务、市场等部门权限该如何设置?
②对内对外,DMZ从外到内 OA从内到内,黑客通过DMZ搞定内部服务器怎么办,安全等级和使用对象该怎么设计?
【1】分级分域,不同级别的设备放一起,低的设备放一起,不同等级之间的访问,严格控制,低等级流量到高等级流量应作筛查
【2】研发,人事,市场,人权认证,访问控制,防火墙开通网段控制【ACL控制】,电脑拿出去被黑客控制了【IPS】Linux系统漏洞
【3】3个防火墙是不同的,需求导向式销售 W深信服设备该场景最能解决P证明,记忆不同业务场景下-客户的问题
【4】终端防护:用户认证,IP地址与用户要绑定,登录无线【经过上网行为审计】,对角色进行上网行为的管控
【5】泄密追踪:口袋助理名单/通讯录有人泄露给猎头,也可能手机丢了,没有密码,那一段时间接到了,深信服给多少,两倍来不来,口袋助理没法遍历
【6】移动接入安全:在外出差 SSL VPN接入,没有对外开放/端口映射,身份验证/权限管控,地市业务开展,查资料,报销,不是公网接入的【否则黑客也可接入】,网络大学,未对外发布,对内网站,账号密码接入才能连入网络大学,做传输数据加密+身份验证+权限管控
【7】单点故障:非设备,网线挂了/设备挂了/不同运营商访问,LOL选取艾欧尼亚,锻炼意志的祖安区,电信/网通/铁通 延迟低,顺畅,不同运营商机房分布与实力息息相关,南方电信牛逼,传输距离近,延迟低,机房建设设备+协议+标准,游戏服务器在北京,教室-园区电信机房-省电信-骨干-北京网通机房,走的路径短,耗时短,延迟低,大招就不容易放空

不同运营商兼容性不好,数据包丢掉了,断了不是卡了,要体验要好,多拉几条线,买了运营商服务3根线3个地址,做负载均衡【每条线路都跑一点人进来】,不要跨运营商,用户输入的是域名-DNS域名解析-AD控制DNS域名解析过程【A记录,NS记录】-把NS解析过程接管过来-选路策略-跑满了就分到别的线路上,网络和服务器的可用性
(1)入站负载均衡
(2)出站负载均衡
(3)多台深信服服务器,外面的人选完线路后选服务器cpu内存使用率,容灾和备份
(4)会话保持

阶段三:业务扩张

企业网络架构阶段_第3张图片
解决线路故障,然后解决网络设备的单点故障了
(1)潮汐应用:【解决硬件系统利用率低的问题】选课后闲置,跑其他业务系统,虚拟化资源池化,底层资源灵活调动,—上云/服务器虚拟化【软硬件解耦/非强绑定】–资源池—资源的灵活调动—解决硬件资源利用率低的问题,虚拟化技术,利旧DRX和DRS,三个VM虚拟机,一个访问量激增的时候,监控程序马上将其他VM中的闲置cpu和内存剥离注入一台不够就虚拟多台,部署AD给客户利旧,同一管理起来,解决了资源利用率的问题。
(2)运维区:微盟删库,12亿,对网管的权限没到位
①堡垒机:网管要管理设备的时候必须登录堡垒机对你认证,能做什么,做了也要审核,设备控制权限【所有的设备,哪些人有登录权限对网管权限管理&认证&审计】、数据库控制权限,
②系统运行日志:日志审计【报警故障系统/网口硬盘温度故障日志】接口标准传到统一的日志/针对设备,操作系统的故障,告警条件设计【达到程度短信通知网管】
③防病毒服务器【统一拿病毒升级库】,杀毒软件要更新病毒库,内网是千兆的
④数据库审计【定义规则,审计到时间/人对数据库哪个表哪个字段做了什么增删修改操作】,例如市场人员访问数据库,就会告警。
⑤基线核查【大小写8位密码安全基线】操作系统更新Win10/打补丁/断网告警,
⑥安全感知【安全事件告警】黑客/泄露资料 黑客攻击日志/泄密日志(探针/摄像头/同步到大屏幕:风险的统一管控)联动他们,联合开发OEM,深信服虽然是安全龙头企业,也不可能什么都能做,什么都做的好,也会未客户补齐
(4)专线:拉一根网线连接运营商机房,两个机房打通,都是私网地址,很难截获信息,安全但是很贵。
(5)外联接入区,办事处,全国分公司访问深圳总部,业务发展大了,先讲客户业务变大了,财务,订单,销管系统,IPsecVPN设备, 默认了Ipsec功能模块,因而可以对接,ssl-ipsec二合一支持移动办公接入+支持分公司组网,Ipsec是一个标准协议【深信服的设备可以与使用标准ipsec开发的友商设备】sangforVPN私有协议,ssl里合成了ipsec模块【支持移动办公接入+分公司组网】
(5)桌面云:研发改动,不便宜【运维成本】+虚拟化技术+母盘克隆

阶段四:稳态和敏态业务

企业网络架构阶段_第4张图片
①量级很大的潮汐应用采购成本过高,便采购公有云
②研发灰度测试,应用先跑起来,用户量☞流量升级
③业务变重要了【腾讯云出问题】关键业务私有云承载,弹性要求高的放公有云上面【12306阿里云前端抢票查询登录+私有云个人信息验证支付】中间数据要打通
④成本+弹性+安全 统一管理,混合云
⑤稳态确定的业务私有云,测试潮汐待验证不确定敏态

阶段五:运营管理和服务支撑

企业网络架构阶段_第5张图片

①it的服务流程:黑客攻击了,流程机制怎么做,应该怎么配合,怎么应对突发事件与风险,如何协作,快速回复业务。
②流程的机制,人为介入去操作,搭建人员梯队,流程体系建设,流程制度,应急响应机制,运维管理支撑,安全服务,应急响应机制如何搭建的
④AF,AC,SSL ,EDR,桌面云,虚拟化,云计算,
AF:互联网出口,数据中心
AC:上网行为管控
SSL VPN:远程接入VPN
EDR:终端检测与响应

你可能感兴趣的:(领跑X计划,网络)